Articles

Cómo evitar que los usuarios eludan OpenDNS mediante reglas de cortafuegos

On enero 2, 2022 by

Descripción general

Este artículo proporciona una amplia visión general de los pasos que uno puede tomar para evitar que los usuarios de su red eludan los servicios OpenDNS.

Explicación

Los usuarios expertos de Internet pueden intentar eludir los servicios OpenDNS si la configuración de seguridad de su red les permite cambiar la dirección del servidor DNS local por otra distinta de las direcciones de nuestros servidores públicos. Esto haría inútiles sus políticas de seguridad y podría dejar su red vulnerable. Sin embargo, es posible no permitir que esos otros servicios DNS atraviesen el cortafuegos de su red hacia Internet, lo que evitará que estos usuarios eludan la protección.

Instrucciones generales

La mayoría de los routers y firewalls le permitirán forzar todo el tráfico DNS a través del puerto 53, requiriendo así que todos en la red utilicen la configuración DNS definida en el router/firewall (en este caso, OpenDNS). La recomendación preferida es reenviar todas las peticiones DNS para que vayan a las IP de openDNS que se indican a continuación. De esta forma, simplemente se reenvían las peticiones DNS de los usuarios sin que lo sepan, en lugar de tener la posibilidad de que alguien configure manualmente el DNS y no funcione.

Esencialmente, usted querrá crear una regla de firewall para permitir sólo DNS (TCP/UDP) a los servidores de OpenDNS y restringir el resto del tráfico DNS a cualquier otra IP. Lo ideal sería que este filtro o regla se añadiera al cortafuegos que está en el extremo más alejado de su red. En términos sencillos, esto se definiría de forma similar a la siguiente:
Permitir la entrada/salida de TCP/UDP al puerto 53

y

Bloquear la entrada/salida de TCP/UDP a todas las direcciones IP del puerto 53
La primera regla supera a la segunda. En pocas palabras, cualquier petición a OpenDNS será permitida y cualquier petición a cualquier otra IP será bloqueada.

  • Dependiendo de la interfaz de configuración de su cortafuegos, puede que necesite configurar una regla separada para cada uno de estos protocolos o una regla que cubra ambos.
  • La regla puede aplicarse tanto en el cortafuegos como en el router, pero normalmente es mejor colocarla en el dispositivo más al borde de la red. Una regla similar podría aplicarse también a los cortafuegos de software instalados en una estación de trabajo, como el cortafuegos integrado en Windows o Mac OS/X.

Desgraciadamente, las configuraciones individuales no son algo que OpenDNS pueda ayudar a soportar, ya que cada cortafuegos o router tiene una interfaz de configuración única y éstas varían mucho. Si no está seguro, debe consultar la documentación de su router o firewall o ponerse en contacto con el fabricante para ver si esto es posible con su dispositivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.